詞語(yǔ)解釋
DMZ是Demilitarized Zone的縮寫,中文翻譯為“非軍事區(qū)”,是指一個(gè)網(wǎng)絡(luò)中,用于存放受信任的服務(wù)器的一個(gè)獨(dú)立的網(wǎng)絡(luò)空間,是一個(gè)比較安全的網(wǎng)絡(luò)空間,用于存放受信任的服務(wù)器,例如:Web服務(wù)器、FTP服務(wù)器等。 DMZ是一種網(wǎng)絡(luò)安全技術(shù),它是將網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng),然后在內(nèi)網(wǎng)和外網(wǎng)之間建立一個(gè)“非軍事區(qū)”,即DMZ,DMZ中的服務(wù)器可以被外網(wǎng)的用戶訪問(wèn),但是受到內(nèi)網(wǎng)的保護(hù),內(nèi)網(wǎng)中的服務(wù)器不能被外網(wǎng)的用戶訪問(wèn),從而達(dá)到安全保護(hù)的目的。 DMZ的應(yīng)用主要有以下幾種: 1、防止外網(wǎng)攻擊:DMZ可以防止外網(wǎng)攻擊,可以有效地保護(hù)內(nèi)網(wǎng)的安全,防止外網(wǎng)的攻擊者竊取內(nèi)網(wǎng)的信息。 2、提高服務(wù)質(zhì)量:DMZ可以有效地提高網(wǎng)絡(luò)服務(wù)的質(zhì)量,因?yàn)樗梢韵拗苾?nèi)網(wǎng)服務(wù)器的訪問(wèn),從而提高服務(wù)的可靠性和安全性。 3、提高網(wǎng)絡(luò)安全:DMZ可以有效地提高網(wǎng)絡(luò)的安全性,可以防止外網(wǎng)的攻擊者竊取內(nèi)網(wǎng)的信息,從而提高網(wǎng)絡(luò)的安全性。 4、提高網(wǎng)絡(luò)可靠性:DMZ可以有效地提高網(wǎng)絡(luò)的可靠性,可以限制內(nèi)網(wǎng)服務(wù)器的訪問(wèn),從而提高服務(wù)的可靠性和安全性。 總之,DMZ的應(yīng)用可以有效地提高網(wǎng)絡(luò)的安全性、可靠性和服務(wù)質(zhì)量,是網(wǎng)絡(luò)安全技術(shù)的重要組成部分。 DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過(guò)這樣一個(gè)DMZ區(qū)域,更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò),因?yàn)檫@種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對(duì)攻擊者來(lái)說(shuō)又多了一道關(guān)卡。 網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商,利用這一技術(shù),開(kāi)發(fā)出了相應(yīng)的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個(gè)過(guò)濾的子網(wǎng),DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶。 DMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線,通常認(rèn)為是非常安全的。同時(shí)它提供了一個(gè)區(qū)域放置公共服務(wù)器,從而又能有效地避免一些互聯(lián)應(yīng)用需要公開(kāi),而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池,以及所有的公共服務(wù)器,但要注意的是電子商務(wù)服務(wù)器只能用作用戶連接,真正的電子商務(wù)后臺(tái)數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。 在這個(gè)防火墻方案中,包括兩個(gè)防火墻,外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊,并管理所有內(nèi)部網(wǎng)絡(luò)對(duì)DMZ的訪問(wèn)。內(nèi)部防火墻管理DMZ對(duì)于內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機(jī)),當(dāng)外部防火墻失效的時(shí)候,它還可以起到保護(hù)內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)內(nèi)部,對(duì)于Internet的訪問(wèn)由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。在這樣的結(jié)構(gòu)里,一個(gè)黑客必須通過(guò)三個(gè)獨(dú)立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機(jī))才能夠到達(dá)局域網(wǎng)。攻擊難度大大加強(qiáng),相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng),但投資成本也是最高的。 如果你的機(jī)器不提供網(wǎng)站或其他的網(wǎng)絡(luò)服務(wù)的話不要設(shè)置.DMZ是把你電腦的所有端口開(kāi)放到網(wǎng)絡(luò) 。 一:什么是DMZ DMZ(Demilitarized Zone)即俗稱的非軍事區(qū),與軍事區(qū)和信任區(qū)相對(duì)應(yīng),作用是把WEB,e-mail,等允許外部訪問(wèn)的服務(wù)器單獨(dú)接在該區(qū)端口,使整個(gè)需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后,不允許任何訪問(wèn),實(shí)現(xiàn)內(nèi)外網(wǎng)分離,達(dá)到用戶需求。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域,DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器,比如Web、Mail、FTP等。這樣來(lái)自外網(wǎng)的訪問(wèn)者可以訪問(wèn)DMZ中的服務(wù),但不可能接觸到存放在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等,即使DMZ中服務(wù)器受到破壞,也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。 二:為什么需要DMZ 在實(shí)際的運(yùn)用中,某些主機(jī)需要對(duì)外提供服務(wù),為了更好地提供服務(wù),同時(shí)又要有效地保護(hù)內(nèi)部網(wǎng)絡(luò)的安全,將這些需要對(duì)外開(kāi)放的主機(jī)與內(nèi)部的眾多網(wǎng)絡(luò)設(shè)備分隔開(kāi)來(lái),根據(jù)不同的需要,有針對(duì)性地采取相應(yīng)的隔離措施,這樣便能在對(duì)外提供友好的服務(wù)的同時(shí)最大限度地保護(hù)了內(nèi)部網(wǎng)絡(luò)。針對(duì)不同資源提供不同安全級(jí)別的保護(hù),可以構(gòu)建一個(gè)DMZ區(qū)域,DMZ可以為主機(jī)環(huán)境提供網(wǎng)絡(luò)級(jí)的保護(hù),能減少為不信任客戶提供服務(wù)而引發(fā)的危險(xiǎn),是放置公共信息的最佳位置。在一個(gè)非DMZ系統(tǒng)中,內(nèi)部網(wǎng)絡(luò)和主機(jī)的安全通常并不如人們想象的那樣堅(jiān)固,提供給Internet的服務(wù)產(chǎn)生了許多漏洞,使其他主機(jī)極易受到攻擊。但是,通過(guò)配置DMZ,我們可以將需要保護(hù)的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)放在內(nèi)網(wǎng)中,把沒(méi)有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問(wèn)職責(zé)的主機(jī)放置于DMZ中,這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設(shè)置的新的障礙。 三:DMZ網(wǎng)絡(luò)訪問(wèn)控制策略 當(dāng)規(guī)劃一個(gè)擁有DMZ的網(wǎng)絡(luò)時(shí)候,我們可以明確各個(gè)網(wǎng)絡(luò)之間的訪問(wèn)關(guān)系,可以確定以下六條訪問(wèn)控制策略。 1.內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng) 內(nèi)網(wǎng)的用戶顯然需要自由地訪問(wèn)外網(wǎng)。在這一策略中,防火墻需要進(jìn)行源地址轉(zhuǎn)換。 2.內(nèi)網(wǎng)可以訪問(wèn)DMZ 此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。 3.外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng) 很顯然,內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù),這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問(wèn)。 4.外網(wǎng)可以訪問(wèn)DMZ DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的,所以外網(wǎng)必須可以訪問(wèn)DMZ。同時(shí),外網(wǎng)訪問(wèn)DMZ需要由防火墻完成對(duì)外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。 5.DMZ不能訪問(wèn)內(nèi)網(wǎng) 很明顯,如果違背此策略,則當(dāng)入侵者攻陷DMZ時(shí),就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。 6.DMZ不能訪問(wèn)外網(wǎng) 此條策略也有例外,比如DMZ中放置郵件服務(wù)器時(shí),就需要訪問(wèn)外網(wǎng),否則將不能正常工作。在網(wǎng)絡(luò)中,非軍事區(qū)(DMZ)是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段,其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問(wèn)服務(wù)的網(wǎng)絡(luò)分開(kāi),阻止內(nèi)網(wǎng)和外網(wǎng)直接通信,以保證內(nèi)網(wǎng)安全。 四:DMZ服務(wù)配置 DMZ提供的服務(wù)是經(jīng)過(guò)了地址轉(zhuǎn)換(NAT)和受安全規(guī)則限制的,以達(dá)到隱蔽真實(shí)地址、控制訪問(wèn)的功能。首先要根據(jù)將要提供的服務(wù)和安全策略建立一個(gè)清晰的網(wǎng)絡(luò)拓?fù),確定DMZ區(qū)應(yīng)用服務(wù)器的IP和端口號(hào)以及數(shù)據(jù)流向。通常網(wǎng)絡(luò)通信流向?yàn)榻雇饩W(wǎng)區(qū)與內(nèi)網(wǎng)區(qū)直接通信,DMZ區(qū)既可與外網(wǎng)區(qū)進(jìn)行通信,也可以與內(nèi)網(wǎng)區(qū)進(jìn)行通信,受安全規(guī)則限制。 1 地址轉(zhuǎn)換 DMZ區(qū)服務(wù)器與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是經(jīng)過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)實(shí)現(xiàn)的。網(wǎng)絡(luò)地址轉(zhuǎn)換用于將一個(gè)地址域(如專用Intranet)映射到另一個(gè)地址域(如Internet),以達(dá)到隱藏專用網(wǎng)絡(luò)的目的。DMZ區(qū)服務(wù)器對(duì)內(nèi)服務(wù)時(shí)映射成內(nèi)網(wǎng)地址,對(duì)外服務(wù)時(shí)映射成外網(wǎng)地址。采用靜態(tài)映射配置網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí),服務(wù)用IP和真實(shí)IP要一一映射,源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換都必須要有。 2 DMZ安全規(guī)則制定 安全規(guī)則集是安全策略的技術(shù)實(shí)現(xiàn),一個(gè)可靠、高效的安全規(guī)則集是實(shí)現(xiàn)一個(gè)成功、安全的防火墻的非常關(guān)鍵的一步。如果防火墻規(guī)則集配置錯(cuò)誤,再好的防火墻也只是擺設(shè)。在建立規(guī)則集時(shí)必須注意規(guī)則次序,因?yàn)榉阑饓Υ蠖嘁皂樞蚍绞綑z查信息包,同樣的規(guī)則,以不同的次序放置,可能會(huì)完全改變防火墻的運(yùn)轉(zhuǎn)情況。如果信息包經(jīng)過(guò)每一條規(guī)則而沒(méi)有發(fā)現(xiàn)匹配,這個(gè)信息包便會(huì)被拒絕。一般來(lái)說(shuō),通常的順序是,較特殊的規(guī)則在前,較普通的規(guī)則在后,防止在找到一個(gè)特殊規(guī)則之前一個(gè)普通規(guī)則便被匹配,避免防火墻被配置錯(cuò)誤。 DMZ安全規(guī)則指定了非軍事區(qū)內(nèi)的某一主機(jī)(IP地址)對(duì)應(yīng)的安全策略。由于DMZ區(qū)內(nèi)放置的服務(wù)器主機(jī)將提供公共服務(wù),其地址是公開(kāi)的,可以被外部網(wǎng)的用戶訪問(wèn),所以正確設(shè)置DMZ區(qū)安全規(guī)則對(duì)保證網(wǎng)絡(luò)安全是十分重要的。 FireGate可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)控制。它將每個(gè)連接作為一個(gè)數(shù)據(jù)流,通過(guò)規(guī)則表與連接表共同配合,對(duì)網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。其用于過(guò)濾和監(jiān)控的IP包信息主要有:源IP地址、目的IP地址、協(xié)議類型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP報(bào)文類型域和代碼域、碎片包和其他標(biāo)志位(如SYN、ACK位)等。 為了讓DMZ區(qū)的應(yīng)用服務(wù)器能與內(nèi)網(wǎng)中DB服務(wù)器(服務(wù)端口4004、使用TCP協(xié)議)通信,需增加DMZ區(qū)安全規(guī)則, 這樣一個(gè)基于DMZ的安全應(yīng)用服務(wù)便配置好了。其他的應(yīng)用服務(wù)可根據(jù)安全策略逐個(gè)配置。 DMZ無(wú)疑是網(wǎng)絡(luò)安全防御體系中重要組成部分,再加上入侵檢測(cè)和基于主機(jī)的其他安全措施,將極大地提高公共服務(wù)及整個(gè)系統(tǒng)的安全性。
DMZ是英文“demilitarized zone”的縮寫,中文名稱為“隔離區(qū)”,也稱“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過(guò)這樣一個(gè)DMZ區(qū)域,更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò),因?yàn)檫@種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對(duì)攻擊者來(lái)說(shuō)又多了一道關(guān)卡。 網(wǎng)絡(luò)設(shè)備開(kāi)發(fā)商,利用這一技術(shù),開(kāi)發(fā)出了相應(yīng)的防火墻解決方案。稱“非軍事區(qū)結(jié)構(gòu)模式”。DMZ通常是一個(gè)過(guò)濾的子網(wǎng),DMZ在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間構(gòu)造了一個(gè)安全地帶。 DMZ防火墻方案為要保護(hù)的內(nèi)部網(wǎng)絡(luò)增加了一道安全防線,通常認(rèn)為是非常安全的。同時(shí)它提供了一個(gè)區(qū)域放置公共服務(wù)器,從而又能有效地避免一些互聯(lián)應(yīng)用需要公開(kāi),而與內(nèi)部安全策略相矛盾的情況發(fā)生。在DMZ區(qū)域中通常包括堡壘主機(jī)、Modem池,以及所有的公共服務(wù)器,但要注意的是電子商務(wù)服務(wù)器只能用作用戶連接,真正的電子商務(wù)后臺(tái)數(shù)據(jù)需要放在內(nèi)部網(wǎng)絡(luò)中。 在這個(gè)防火墻方案中,包括兩個(gè)防火墻,外部防火墻抵擋外部網(wǎng)絡(luò)的攻擊,并管理所有內(nèi)部網(wǎng)絡(luò)對(duì)DMZ的訪問(wèn)。內(nèi)部防火墻管理DMZ對(duì)于內(nèi)部網(wǎng)絡(luò)的訪問(wèn)。內(nèi)部防火墻是內(nèi)部網(wǎng)絡(luò)的第三道安全防線(前面有了外部防火墻和堡壘主機(jī)),當(dāng)外部防火墻失效的時(shí)候,它還可以起到保護(hù)內(nèi)部網(wǎng)絡(luò)的功能。而局域網(wǎng)內(nèi)部,對(duì)于Internet的訪問(wèn)由內(nèi)部防火墻和位于DMZ的堡壘主機(jī)控制。在這樣的結(jié)構(gòu)里,一個(gè)黑客必須通過(guò)三個(gè)獨(dú)立的區(qū)域(外部防火墻、內(nèi)部防火墻和堡壘主機(jī))才能夠到達(dá)局域網(wǎng)。攻擊難度大大加強(qiáng),相應(yīng)內(nèi)部網(wǎng)絡(luò)的安全性也就大大加強(qiáng),但投資成本也是最高的。 如果你的機(jī)器不提供網(wǎng)站或其他的網(wǎng)絡(luò)服務(wù)的話不要設(shè)置.DMZ是把你電腦的所有端口開(kāi)放到網(wǎng)絡(luò) 。 一:什么是DMZ DMZ(Demilitarized Zone)即俗稱的非軍事區(qū),與軍事區(qū)和信任區(qū)相對(duì)應(yīng),作用是把WEB,e-mail,等允許外部訪問(wèn)的服務(wù)器單獨(dú)接在該區(qū)端口,使整個(gè)需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后,不允許任何訪問(wèn),實(shí)現(xiàn)內(nèi)外網(wǎng)分離,達(dá)到用戶需求。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域,DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器,比如Web、Mail、FTP等。這樣來(lái)自外網(wǎng)的訪問(wèn)者可以訪問(wèn)DMZ中的服務(wù),但不可能接觸到存放在內(nèi)網(wǎng)中的公司機(jī)密或私人信息等,即使DMZ中服務(wù)器受到破壞,也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。 二:為什么需要DMZ 在實(shí)際的運(yùn)用中,某些主機(jī)需要對(duì)外提供服務(wù),為了更好地提供服務(wù),同時(shí)又要有效地保護(hù)內(nèi)部網(wǎng)絡(luò)的安全,將這些需要對(duì)外開(kāi)放的主機(jī)與內(nèi)部的眾多網(wǎng)絡(luò)設(shè)備分隔開(kāi)來(lái),根據(jù)不同的需要,有針對(duì)性地采取相應(yīng)的隔離措施,這樣便能在對(duì)外提供友好的服務(wù)的同時(shí)最大限度地保護(hù)了內(nèi)部網(wǎng)絡(luò)。針對(duì)不同資源提供不同安全級(jí)別的保護(hù),可以構(gòu)建一個(gè)DMZ區(qū)域,DMZ可以為主機(jī)環(huán)境提供網(wǎng)絡(luò)級(jí)的保護(hù),能減少為不信任客戶提供服務(wù)而引發(fā)的危險(xiǎn),是放置公共信息的最佳位置。在一個(gè)非DMZ系統(tǒng)中,內(nèi)部網(wǎng)絡(luò)和主機(jī)的安全通常并不如人們想象的那樣堅(jiān)固,提供給Internet的服務(wù)產(chǎn)生了許多漏洞,使其他主機(jī)極易受到攻擊。但是,通過(guò)配置DMZ,我們可以將需要保護(hù)的Web應(yīng)用程序服務(wù)器和數(shù)據(jù)庫(kù)系統(tǒng)放在內(nèi)網(wǎng)中,把沒(méi)有包含敏感數(shù)據(jù)、擔(dān)當(dāng)代理數(shù)據(jù)訪問(wèn)職責(zé)的主機(jī)放置于DMZ中,這樣就為應(yīng)用系統(tǒng)安全提供了保障。DMZ使包含重要數(shù)據(jù)的內(nèi)部系統(tǒng)免于直接暴露給外部網(wǎng)絡(luò)而受到攻擊,攻擊者即使初步入侵成功,還要面臨DMZ設(shè)置的新的障礙。 三:DMZ網(wǎng)絡(luò)訪問(wèn)控制策略 當(dāng)規(guī)劃一個(gè)擁有DMZ的網(wǎng)絡(luò)時(shí)候,我們可以明確各個(gè)網(wǎng)絡(luò)之間的訪問(wèn)關(guān)系,可以確定以下六條訪問(wèn)控制策略。 1.內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng) 內(nèi)網(wǎng)的用戶顯然需要自由地訪問(wèn)外網(wǎng)。在這一策略中,防火墻需要進(jìn)行源地址轉(zhuǎn)換。 2.內(nèi)網(wǎng)可以訪問(wèn)DMZ 此策略是為了方便內(nèi)網(wǎng)用戶使用和管理DMZ中的服務(wù)器。 3.外網(wǎng)不能訪問(wèn)內(nèi)網(wǎng) 很顯然,內(nèi)網(wǎng)中存放的是公司內(nèi)部數(shù)據(jù),這些數(shù)據(jù)不允許外網(wǎng)的用戶進(jìn)行訪問(wèn)。 4.外網(wǎng)可以訪問(wèn)DMZ DMZ中的服務(wù)器本身就是要給外界提供服務(wù)的,所以外網(wǎng)必須可以訪問(wèn)DMZ。同時(shí),外網(wǎng)訪問(wèn)DMZ需要由防火墻完成對(duì)外地址到服務(wù)器實(shí)際地址的轉(zhuǎn)換。 5.DMZ不能訪問(wèn)內(nèi)網(wǎng) 很明顯,如果違背此策略,則當(dāng)入侵者攻陷DMZ時(shí),就可以進(jìn)一步進(jìn)攻到內(nèi)網(wǎng)的重要數(shù)據(jù)。 6.DMZ不能訪問(wèn)外網(wǎng) 此條策略也有例外,比如DMZ中放置郵件服務(wù)器時(shí),就需要訪問(wèn)外網(wǎng),否則將不能正常工作。在網(wǎng)絡(luò)中,非軍事區(qū)(DMZ)是指為不信任系統(tǒng)提供服務(wù)的孤立網(wǎng)段,其目的是把敏感的內(nèi)部網(wǎng)絡(luò)和其他提供訪問(wèn)服務(wù)的網(wǎng)絡(luò)分開(kāi),阻止內(nèi)網(wǎng)和外網(wǎng)直接通信,以保證內(nèi)網(wǎng)安全。 四:DMZ服務(wù)配置 DMZ提供的服務(wù)是經(jīng)過(guò)了地址轉(zhuǎn)換(NAT)和受安全規(guī)則限制的,以達(dá)到隱蔽真實(shí)地址、控制訪問(wèn)的功能。首先要根據(jù)將要提供的服務(wù)和安全策略建立一個(gè)清晰的網(wǎng)絡(luò)拓?fù),確定DMZ區(qū)應(yīng)用服務(wù)器的IP和端口號(hào)以及數(shù)據(jù)流向。通常網(wǎng)絡(luò)通信流向?yàn)榻雇饩W(wǎng)區(qū)與內(nèi)網(wǎng)區(qū)直接通信,DMZ區(qū)既可與外網(wǎng)區(qū)進(jìn)行通信,也可以與內(nèi)網(wǎng)區(qū)進(jìn)行通信,受安全規(guī)則限制。 1 地址轉(zhuǎn)換 DMZ區(qū)服務(wù)器與內(nèi)網(wǎng)區(qū)、外網(wǎng)區(qū)的通信是經(jīng)過(guò)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)實(shí)現(xiàn)的。網(wǎng)絡(luò)地址轉(zhuǎn)換用于將一個(gè)地址域(如專用Intranet)映射到另一個(gè)地址域(如Internet),以達(dá)到隱藏專用網(wǎng)絡(luò)的目的。DMZ區(qū)服務(wù)器對(duì)內(nèi)服務(wù)時(shí)映射成內(nèi)網(wǎng)地址,對(duì)外服務(wù)時(shí)映射成外網(wǎng)地址。采用靜態(tài)映射配置網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí),服務(wù)用IP和真實(shí)IP要一一映射,源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換都必須要有。 2 DMZ安全規(guī)則制定 安全規(guī)則集是安全策略的技術(shù)實(shí)現(xiàn),一個(gè)可靠、高效的安全規(guī)則集是實(shí)現(xiàn)一個(gè)成功、安全的防火墻的非常關(guān)鍵的一步。如果防火墻規(guī)則集配置錯(cuò)誤,再好的防火墻也只是擺設(shè)。在建立規(guī)則集時(shí)必須注意規(guī)則次序,因?yàn)榉阑饓Υ蠖嘁皂樞蚍绞綑z查信息包,同樣的規(guī)則,以不同的次序放置,可能會(huì)完全改變防火墻的運(yùn)轉(zhuǎn)情況。如果信息包經(jīng)過(guò)每一條規(guī)則而沒(méi)有發(fā)現(xiàn)匹配,這個(gè)信息包便會(huì)被拒絕。一般來(lái)說(shuō),通常的順序是,較特殊的規(guī)則在前,較普通的規(guī)則在后,防止在找到一個(gè)特殊規(guī)則之前一個(gè)普通規(guī)則便被匹配,避免防火墻被配置錯(cuò)誤。 DMZ安全規(guī)則指定了非軍事區(qū)內(nèi)的某一主機(jī)(IP地址)對(duì)應(yīng)的安全策略。由于DMZ區(qū)內(nèi)放置的服務(wù)器主機(jī)將提供公共服務(wù),其地址是公開(kāi)的,可以被外部網(wǎng)的用戶訪問(wèn),所以正確設(shè)置DMZ區(qū)安全規(guī)則對(duì)保證網(wǎng)絡(luò)安全是十分重要的。 FireGate可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問(wèn)控制。它將每個(gè)連接作為一個(gè)數(shù)據(jù)流,通過(guò)規(guī)則表與連接表共同配合,對(duì)網(wǎng)絡(luò)連接和會(huì)話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。其用于過(guò)濾和監(jiān)控的IP包信息主要有:源IP地址、目的IP地址、協(xié)議類型(IP、ICMP、TCP、UDP)、源TCP/UDP端口、目的TCP/UDP端口、ICMP報(bào)文類型域和代碼域、碎片包和其他標(biāo)志位(如SYN、ACK位)等。 為了讓DMZ區(qū)的應(yīng)用服務(wù)器能與內(nèi)網(wǎng)中DB服務(wù)器(服務(wù)端口4004、使用TCP協(xié)議)通信,需增加DMZ區(qū)安全規(guī)則, 這樣一個(gè)基于DMZ的安全應(yīng)用服務(wù)便配置好了。其他的應(yīng)用服務(wù)可根據(jù)安全策略逐個(gè)配置。 DMZ無(wú)疑是網(wǎng)絡(luò)安全防御體系中重要組成部分,再加上入侵檢測(cè)和基于主機(jī)的其他安全措施,將極大地提高公共服務(wù)及整個(gè)系統(tǒng)的安全性。
抱歉,此頁(yè)面的內(nèi)容受版權(quán)保護(hù),復(fù)制需扣除次數(shù),次數(shù)不足時(shí)需付費(fèi)購(gòu)買。
如需下載請(qǐng)點(diǎn)擊:點(diǎn)擊此處下載
掃碼付費(fèi)即可復(fù)制
成都信息工程學(xué)院 | 正交幅度調(diào)制 | dfir | GTP | CTP-U | UPS | VMI | heterogencous network | 異步轉(zhuǎn)移模式 | 參考模型 | 中國(guó)移動(dòng)通信集團(tuán)廣西有限公司 | eps電源 |
移動(dòng)通信網(wǎng) | 通信人才網(wǎng) | 更新日志 | 團(tuán)隊(duì)博客 | 免責(zé)聲明 | 關(guān)于詞典 | 幫助